CN101908996B - 接入私有网络的方法、数据传输方法及装置和系统 - Google Patents
接入私有网络的方法、数据传输方法及装置和系统 Download PDFInfo
- Publication number
- CN101908996B CN101908996B CN2010102641562A CN201010264156A CN101908996B CN 101908996 B CN101908996 B CN 101908996B CN 2010102641562 A CN2010102641562 A CN 2010102641562A CN 201010264156 A CN201010264156 A CN 201010264156A CN 101908996 B CN101908996 B CN 101908996B
- Authority
- CN
- China
- Prior art keywords
- equipment
- vrf
- data message
- dial user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种接入私有网络的方法、数据传输方法及装置和系统,主要技术方案包括:PE设备接收拨号用户通过CE设备发送的PPP协商请求,并获取PPP协商请求携带的拨号用户的域名信息;根据保存的域名信息与VRF的对应关系,确定该域名信息对应的VRF;在完成与CE设备针对该拨号用户的PPP协商后,针对该拨号用户建立与CE设备之间的VPDN隧道,在VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并配置该逻辑接口与确定出的VRF对应。采用该技术方案,在拨号过程中将拨号用户的域名信息和VRF绑定,该拨号用户只能访问与其域名对应的VRF对应的网络资源,从而提高了对拨号用户访问网络资源的权限的控制效率。
Description
技术领域
本发明涉及数据通信技术领域,尤其涉及接入私有网络的方法、数据传输方法及装置和系统。
背景技术
VPN(Virtual Private Network,虚拟专用网)是通过组合数据封装和加密技术实现私有数据通过公共网络平台进行安全传输的网络,VPN以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接,使用户能够安全地通过公共网络平台接入私有网络。
VPN在私有网络中的应用主要包括VPDN(virtual private dialup networks,虚拟专用拨号网络)以及MPLS(Multiprotocol Label Switching,多协议标签交换)VPN,其中:
VPDN是IP VPN的一种典型类型,通常应用于网络结构的边缘,是一种有拨号业务的VPN技术,即支持远程拨号用户以拨号方式通过公共网络接入私有网络的虚拟专用网技术。具体地,当拨号用户需要拨号进入私有网络时,首先进行VPDN控制报文的协商,在控制报文协商通过后,建立传输数据报文的隧道和会话,然后进行PPP(Point to Point Protocol,点对点协议)协商、用户认证以及地址分配,进而完成VPDN隧道的建立。基于该VPDN隧道,远程拨号用户可以与私有网络之间通过公共网络进行数据报文传输。
MPLS VPN是一种基于MPLS技术的VPN,主要依靠VRF(VPN Routing&Forwarding Instance,VPN路由转发实例)技术将一个私有网络通过VRF路由器的物理接口划分为独立的逻辑网络,即一个VRF路由器的物理接口对应一个逻辑网络,通过该VRF路由器的物理接口接入的用户能够访问该物理接口对应的逻辑网络中的所有网络资源。具体地,MPLS VPN把整个网络中的设备可以分为三类,如图1所示,该三类设备包括CE(Customer Edge,用户边缘)设备101、PE(Provider Edge,服务商边缘)设备102以及P(Provider,服务商)设备103;其中,CE设备可以是路由器,也可以是交换机或主机;PE位于骨干网络,是P和CE之间的分界,可以充当MPLS VPN接入路由器,并且所有VPN的构建、连接和管理工作都在PE上进行的;P位于骨干网络,负责建立标签交换路径,通过标签交换方式转发数据包。
VPDN技术以及MPLS VPN技术在私有网络中得到了广泛应用,从网络全局来看,VPDN实现了拨号用户安全接入私有网络,但拨号用户接入私有网络后,可以通过建立的私有隧道对网络中的网络资源进行访问;MPLS VPN的应用范围基本限制在私有网络内部,能够实现对私有网络内部的逻辑划分。但基于MPLS VPN实现的网络资源划分,只能根据VRF路由器包括的物理接口实现,拨号用户通过CE设备接入网络后会被随机分配到某一个物理接口对应的逻辑网络中,不能从网络边缘实现对拨号用户访问权限的控制;并且被分配到同一个逻辑网络中的拨号用户可以无限制访问该逻辑网络中的网络资源,由于VRF路由器包括的物理接口数量非常有限,能够划分的逻辑网络的数量也非常有限,因此,不能有效地对用户访问网络资源的权限进行限制。
综上所述,现有VPN技术在私有网络中的应用,对拨号用户访问网络资源的权限的控制效率低,即对拨号用户的网络资源访问权限的划分只局限于私有网络内部,并且不能针对具体拨号用户进行网络资源访问权限的控制。
发明内容
有鉴于此,本发明实施例提供一种接入私有网络的方法、数据传输方法及装置和系统,采用该技术方案,能够提高对拨号用户访问网络资源的权限的控制效率。
本发明实施例通过如下技术方案实现:
根据本发明实施例的一个方面,提供了一种接入私有网络的方法,包括:
服务商边缘PE设备接收拨号用户通过用户边缘CE设备发送的点对点协议PPP协商请求,并获取所述PPP协商请求携带的所述拨号用户的域名信息;
根据保存的域名信息与虚拟专用网VPN路由转发实例VRF的对应关系,确定所述PPP协商请求携带的所述域名信息对应的VRF;
在完成与所述CE设备针对所述拨号用户的PPP协商后,针对所述拨号用户建立与所述CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在所述VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置所述逻辑接口与确定出的所述VRF对应。
根据本发明实施例的一个方面,提供了一种数据传输方法,包括:
第一服务商边缘PE设备接收第一拨号用户通过第一用户边缘CE设备发送的点对点协议PPP协商请求,并获取所述PPP协商请求携带的所述第一拨号用户的域名信息;
根据保存的域名信息与虚拟专用网VPN路由转发实例VRF的对应关系,确定所述PPP协商请求携带的所述域名信息对应的VRF;
在完成与所述第一CE设备针对所述第一拨号用户的PPP协商后,针对所述第一拨号用户建立与所述第一CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在所述VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置所述逻辑接口与确定出的所述VRF对应;
通过建立的所述VPDN隧道的逻辑接口接收所述第一拨号用户通过所述第一CE设备发送的数据报文,并根据接收所述数据报文的逻辑接口对应的VRF信息,确定用于发送所述数据报文的标签信息,并根据所述标签信息发送所述数据报文。
根据本发明实施例的一个方面,提供了一种接入私有网络的装置,包括:
域名信息获取单元,用于接收拨号用户通过用户边缘CE设备发送的点对点协议PPP协商请求,并获取所述PPP协商请求携带的所述拨号用户的域名信息;
VRF确定单元,用于根据保存的域名信息与VPN路由转发实例VRF的对应关系,确定所述域名信息获取单元确定的所述域名信息对应的VRF;
隧道建立单元,用于在完成与所述CE设备针对所述拨号用户的PPP协商后,针对所述拨号用户建立与所述CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在所述VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置所述逻辑接口与确定出的所述VRF对应。
根据本发明实施例的一个方面,提供了一种PE设备,包括上述接入私有网络的装置。
根据本发明实施例的一个方面,提供了一种数据传输装置,包括:
域名信息获取单元,用于接收第一拨号用户通过第一用户边缘CE设备发送的点对点协议PPP协商请求,并获取所述PPP协商请求携带的所述第一拨号用户的域名信息;
VRF确定单元,用于根据保存的域名信息与虚拟专用网VPN路由转发实例VRF的对应关系,确定所述域名信息获取单元确定的所述域名信息对应的VRF;
隧道建立单元,用于在完成与所述第一CE设备针对所述第一拨号用户的PPP协商后,针对所述第一拨号用户建立与所述第一CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在所述VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置所述逻辑接口与确定出的所述VRF对应;
报文接收单元,用于通过建立的所述VPDN隧道的逻辑接口接收所述第一拨号用户通过所述第一CE设备发送的数据报文;
标签信息确定单元,用于根据所述报文接收单元接收所述数据报文的逻辑接口对应的VRF信息,确定用于发送所述数据报文的标签信息;
报文发送单元,用于根据所述标签信息确定单元确定的标签信息发送所述数据报文。
根据本发明实施例的一个方面,提供了一种PE设备,包括上述数据传输装置。
根据本发明实施例的一个方面,提供了一种数据传输系统,包括:
第一用户边缘CE设备、第一服务商边缘PE设备、服务商P设备、第二PE设备以及第二CE设备;
其中:
所述第一CE设备,用于将第一拨号用户的点对点协议PPP协商请求发送至所述第一PE设备;
所述第一PE设备,用于获取第一CE设备发送的PPP协商请求中携带的所述第一拨号用户的域名信息,并根据保存的域名信息与虚拟专用网VPN路由转发实例VRF的对应关系,确定所述PPP协商请求携带的所述域名信息对应的VRF;以及,用于在完成与所述第一CE设备针对所述第一拨号用户的PPP协商后,针对所述第一拨号用户建立与所述第一CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在所述VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置所述逻辑接口与确定出的所述VRF对应;以及,用于通过建立的所述VPDN隧道的逻辑接口接收所述第一拨号用户通过所述第一CE设备发送的数据报文,并根据接收所述数据报文的逻辑接口对应的VRF信息,确定用于发送所述数据报文的标签信息,并将确定的所述标签信息包括的内标签以及外标签携带在所述数据报文中发送给所述P设备;
所述P设备,用于根据所述数据报文携带的外标签,将所述数据报文转发至所述外标签指示的第二PE设备;
所述第二PE设备,用于根据所述数据报文携带的内标签,在MPLS标签转发表中查找与所述内标签对应的出口信息,并通过查找到的出口信息将所述数据报文通过所述出口信息指示的第二CE设备转发至通过所述第二CE设备拨号的第二拨号用户;其中,针对所述第二拨号用户建立的VPDN隧道的逻辑接口与针对所述第一拨号用户建立的VPDN隧道的逻辑接口所对应的VRF相同。
通过本发明实施例提供的上述至少一个技术方案,通过在PE设备中保存不同拨号用户对应的域名信息与VRF之间的对应关系,PE设备接收到拨号用户通过CE设备发送的PPP协商请求后,能够根据保存的该域名信息与VRF的对应关系,确定出该PPP协商请求携带的该拨号用户的域名信息所对应的VRF,并在完成与该CE设备针对该拨号用户的PPP协商后,针对该拨号用户建立与该CE设备之间的VPDN隧道,其中,在该VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置该逻辑接口与确定出的VRF对应。采用该技术方案,将针对拨号用户在PE设备和CE设备之间建立的VPDN隧道的逻辑接口与该拨号用户的域名信息对应的VRF绑定,该拨号用户只能通过与其域名信息对应的VRF访问网络资源,一方面实现了针对具体拨号用户的网络资源访问权限的控制,另一方面,在拨号用户通过CE设备拨号过程中实现了对该拨号用户的网络资源访问权限的控制,使得对网络资源的权限划分能够通过公共网络延伸到网络边缘,从而提高了对拨号用户使用网络资源的权限的控制效率。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为现有技术中基于MPLS VPN的网络结构示意图;
图2为本发明实施例一提供的接入私有网络的流程图一;
图3为本发明实施例一提供的保存域名信息与VRF的对应关系的流程图;
图4为本发明实施例一提供的接入私有网络的流程图二;
图5为本发明实施例二提供的数据传输的流程图;
图6为本发明实施例二提供的确定标签信息的流程图;
图7为本发明实施例二提供的第一PE设备根据确定出的标签信息转发数据报文的流程图;
图8为本发明实施例三提供的接入私有网络的装置示意图一;
图9为本发明实施例三提供的接入私有网络的装置示意图二;
图10为本发明实施例四提供的数据传输装置示意图;
图11为本发明实施例五提供的数据传输系统示意图。
具体实施方式
为了提高对拨号用户访问网络资源的权限的控制效率,本发明实施例提供了一种接入私有网络的方法、数据传输方法及装置和系统,以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例一
根据本发明实施例一,首先提供了一种接入私有网络的方法,该方法预先在PE设备中保存不同拨号用户的域名信息与VRF之间的对应关系,并基于该对应关系实现对不同拨号用户接入私有网络的权限的控制。具体处理过程如图2所示,主要包括如下步骤:
步骤201、PE设备接收拨号用户通过CE设备发送的PPP协商请求,并获取该PPP协商请求携带的该拨号用户的域名信息;
步骤202、PE设备根据保存的域名信息与VRF的对应关系,确定该PPP协商请求携带的该拨号用户的域名信息所对应的VRF;
步骤203、PE设备在完成与该CE设备针对该拨号用户的PPP协商后,针对该拨号用户建立与该CE设备之间的VPDN隧道,其中,在该VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置该逻辑接口与确定出的VRF对应。
具体地,上述步骤203中,为针对该拨号用户建立的VPDN隧道分配的逻辑接口在PPP协商过程中动态生成,根据接收的PPP协商请求携带的拨号用户的域名信息对应的VRF,配置该逻辑接口与确定出的VRF对应,即将该拨号用户通过CE设备可访问的网络资源限制为确定出的VRF所对应的网络资源。其中,配置VPDN的逻辑接口与确定出的VRF对应,通过对该逻辑接口的VRF属性赋值实现,将该逻辑接口对应的VRF属性赋值为当前确定出的VRF对应的值,从而使得该逻辑接口只能存在于与其VRF属性对应的VRF路由表中,通过该逻辑接口收发的数据只能通过与该逻辑接口的VRF属性对应的VRF路由表中查询相应的标签信息。
基于图2所示的流程,通过在拨号过程中将针对拨号用户建立的VPDN隧道的逻辑接口与该拨号用户的域名信息对应的VRF绑定,使得该拨号用户只能访问与其域名对应的VRF对应的网络资源,从而实现了针对具体拨号用户的访问权限对网络资源的隔离,针对不同拨号用户划分出不同的可被访问的网络资源,提高了对拨号用户使用网络资源的权限进行控制的控制效率。
本发明实施例一还提供了在PE设备中保存不同拨号用户的域名信息与VRF之间的对应关系的具体方式,如图3所示,PE设备保存不同拨号用户的域名信息与VRF之间的对应关系,主要包括如下步骤:
步骤301、PE设备确定不同拨号用户分别对网络资源的访问权限;
步骤302、PE设备确定与不同网络资源的访问权限对应的VRF;
步骤303、建立拨号用户的域名信息以及与该拨号用户对网络资源的访问权限对应的VRF之间的对应关系,并将该对应关系保存在PE设备的指定存储区域。
通过图3所示的流程,首先确定不同拨号用户对网络资源的访问权限,例如,对应第一域名的拨号用户的访问权限为第一类别的网络资源,对应第二域名的拨号用户的访问权限为第二类别的网络资源,进一步确定第一类别的网络资源通过第一VRF进行路由(即通过第一VRF路由表可访问到该第一类别的网络资源),第二类别的网络资源通过第二VRF进行路由,据此可建立第一域名与第一VRF的对应关系,以及第二域名与第二VRF的对应关系。根据该实施例,可以灵活地实现对不同拨号用户网络权限的控制,便于如企业内网等私有网络对网络资源的管理,其中,多个拨号用户可以对应同一个VRF。
根据本发明实施例,分别针对拨号用户的访问权限建立该拨号用户的域名与该拨号用户的访问权限对应的VRF之间的对应关系,从而将拨号用户在接入私有网络后对网络资源的访问权限限制为与其域名对应的VRF所对应的网络资源。
一个具体的实施例中,PE设备中保存的域名与VRF的对应关系如下:
域名 | VRF |
Ruijie | VRF1 |
Chengyan | VRF2 |
...... | ...... |
应当理解,上表所列的域名信息与VRF信息的对应关系的存储方式仅为本发明实施例的一个具体实施方式,实际应用中,该对应关系还可以通过其它形式存储,具体根据PE设备的要求确定,此处不再一一列举。
为了更好地理解本发明实施例,结合上表中包括的域名与VRF的对应关系“Ruijie-VRF1”,说明本发明实施例一提供的上述技术方案的具体实施过程,如图4所示,主要包括如下步骤:
步骤401、域名中包括“Ruijie”的拨号用户通过CE设备向PE设备发起VPDN拨号接入请求,该拨号接入请求中携带该拨号用户的域名信息userRuijie;
步骤402、针对该拨号用户,PE设备与CE设备进行控制报文协商,并在控制报文协商通过后,进行PPP协商,在PPP协商过程中获取域名信息Ruijie。
VPDN作为二层隧道,首先要在PE设备与CE设备之间协商自身的控制报文,然后再进行PPP协商。其中,控制报文的格式为IP+VPDN+PPP+DATA,该拨号用户的域名信息被携带在PPP报头中,当进入PPP协商后,从该PPP报头中获取域名信息。
步骤403、查找保存的域名信息和VRF的对应关系,确定与该拨号用户的域名Ruijie对应的VRF为VRF1。
步骤404、PE设备在完成与CE设备针对该拨号用户的PPP协商后,针对该拨号用户建立与该CE设备之间的VPDN隧道。
该步骤404中,PE设备在与CE设备进行PPP协商的过程中,建立与该CE设备之间的VPDN隧道,并在建立VPDN隧道过程中动态生成VPDN隧道专有的逻辑接口以实现数据报文的接收与发送,具体地,生成的该逻辑接口为Virtual-access(虚拟接入口),PE设备在建立与该CE设备之间的VPDN隧道后,将该Virtual-access接口动态的加入到对应的VRF(即VRF1)路由表中,即将该逻辑接口加入到该VRF1路由表的接口集合中,从而使得通过建立的VPDN隧道从Virtual-access接口接入或发送的数据报文只能在该VRF1路由表中查找路由,并根据路由结果进行转发。根据该技术方案,通过逻辑接口接收的数据报文,在转发时只能查找与该逻辑接口对应的VRF1的路由表,而无法查找其他的路由表,形成了网络的逻辑隔离。
实施例二
根据本发明实施例二,提供了一种基于上述实施例一提供的技术方案实现拨号用户接入私有网络后,在该私有网络中进行数据报文传输的过程,该数据传输过程具体如图5所示,主要包括如下步骤:
步骤501、第一PE设备接收第一拨号用户通过第一CE设备发送的PPP协商请求,并获取该PPP协商请求携带的该第一拨号用户的域名信息;
步骤502、第一PE设备根据保存的域名信息与VRF的对应关系,确定该PPP协商请求携带的域名信息对应的VRF;
步骤503、第一PE设备在完成与该第一CE设备针对该第一拨号用户的PPP协商后,针对该第一拨号用户建立与该第一CE设备之间的VPDN隧道,其中,在VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并配置该逻辑接口与确定出的VRF对应;
具体地,实现上述步骤501~步骤503的过程与上述实施例一中的步骤201~步骤203的具体过程相同,此处不再赘述。
步骤504、第一PE设备通过建立的VPDN隧道的逻辑接口接收第一拨号用户通过该第一CE设备发送的数据报文;
步骤505、第一PE设备根据接收数据报文的逻辑接口对应的VRF信息,确定用于发送该数据报文的标签信息;
步骤506、根据确定出的标签信息转发该数据报文。
本发明实施例二还提供了图5所示的步骤505的具体执行过程,如图6所示,第一PE设备根据接收数据报文的逻辑接口对应的VRF信息,确定用于发送该数据报文的标签信息,主要包括如下步骤:
步骤601、将接收的数据报文的VRF属性设置为与接收数据报文的逻辑接口对应的VRF属性;
步骤602、根据该数据报文的VRF属性,在根据该数据报文的VRF属性确定出的路由表中查找该数据报文对应的公网下一跳地址,以及在MPLS标签转发表中查找与该数据报文的VRF属性对应的内标签;
步骤603、根据公网下一跳地址获得该数据报文对应的外标签以及输出接口。
在MPLS网络中传输的数据报文采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构,它们分别对应于两个层面的路由:骨干网的公网路由和私有的用户VPN路由,公网路由即MPLS中的LSP(Layered ServiceProvider,分层服务提供程序)隧道,该LSP隧道由PE和P之间通过运行LDP(label distribution protocol,标签分发协议)或者其它标签分发协议建立,它所产生的MPLS标签转发表用于确定VPN数据报文的外标签。
相应地,本发明实施例二还提供了图5所示的步骤506的具体执行过程,如图7所示,第一PE设备根据确定出的标签信息转发该数据报文,主要包括如下步骤:
步骤701、将确定的内标签以及外标签携带在该数据报文中通过确定出的输出接口发送至P设备;
步骤702、P设备根据该数据报文携带的外标签,将该数据报文转发至该外标签指示的第二PE设备;
步骤703、第二PE设备根据该数据报文携带的内标签,在MPLS标签转发表中查找与该内标签对应的出口信息,并通过查找到的出口信息将该数据报文通过该出口信息指示的第二CE设备转发至通过所述第二CE设备拨号的第二拨号用户;
其中,根据本发明实施例,针对该第二拨号用户建立的VPDN隧道的逻辑接口与针对该第一拨号用户建立的VPDN隧道的逻辑接口所对应的VRF相同。即该第二拨号用户的域名信息对应的VRF与该第一拨号用户的域名信息对应的VRF相同。在第二拨号用户通过本发明实施例一提供的方法接入到私有网络的第二PE设备中后,该第二拨号用户与第一拨号用户被绑定在同一个VRF路由表中,这样,该第一拨号用户和第二拨号用户之间只能基于该VRF路由表进行数据传输,实现了用户直接数据传输的隔离,避免了具有不同网络资源访问权限的拨号用户之间互传数据,从而能够更有效地控制拨号用户的网络资源访问权限。
通过PE设备上的路由表以及MPLS标签转发表,在第一PE设备和第二PE设备之间建立MPLS VPN隧道,这样在第一PE设备和第二PE设备之间就形成VPDN+MPLS VPN+VPDN的整条的VPN隧道路径,且隧道在统一的VRF中。这样第一拨号用户通过第一PE设备发送的数据报文或第二拨号用户通过第二PE设备发送的数据报文就可以通过VPDN和MPLS VPN隧道进行远程的互通,但是不会通过其他VRF路由表,即通过拨号用户的域名区分对网络资源的访问权限,实现网络资源的隔离和私有网络以及公共网络的连接,提高了对用户的网络资源访问权限的控制效率。
实施例三
相应地,与上述实施例一提供的方法流程对应,本发明实施例三提供了一种接入私有网络的装置,如图8所示,该装置包括:
域名信息获取单元801、VRF确定单元802以及隧道建立单元803;
其中:
域名信息获取单元801,服务商边缘PE设备接收拨号用户通过用户边缘CE设备发送的点对点协议PPP协商请求,并获取该PPP协商请求携带的该拨号用户的域名信息;
VRF确定单元802,用于根据保存的域名信息与VPN路由转发实例VRF的对应关系,确定域名信息获取单元801确定的域名信息对应的VRF;
隧道建立单元803,用于在完成与CE设备针对该拨号用户的PPP协商后,针对该拨号用户建立与该CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在该VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置该逻辑接口与确定出的所述VRF对应。
如图9所示,本发明优选实施例中,图8所示的装置还可以进一步包括:
对应关系存储单元804,该单元用于确定与域名信息对应的拨号用户对网络资源的访问权限,并建立该域名信息以及与所述访问权限对应的VRF之间的对应关系,并保存所述对应关系。
应当理解,以上装置包括的单元仅为根据该终端实现的功能进行的逻辑划分,实际应用中,可以进行上述单元的叠加或拆分。并且该实施例提供的装置所实现的功能与上述实施例一提供的数据传输方法流程一一对应,对于该装置所实现的更为详细的处理流程,在上述方法实施例中已做详细描述,此处不再详细描述。
本发明实施例三还提供了一种PE设备,该PE设备可以包括以上所述的任一接入私有网络的装置。
实施例四
相应地,与上述实施例二提供的方法流程对应,本发明实施例提供了一种数据传输装置,如图10所示,该装置包括:
域名信息获取单元1001、VRF确定单元1002、隧道建立单元1003、报文接收单元1004、标签信息确定单元1005以及报文发送单元1006;
其中:
域名信息获取单元1001,用于接收第一拨号用户通过第一用户边缘CE设备发送的点对点协议PPP协商请求,并获取所述PPP协商请求携带的该第一拨号用户的域名信息;
VRF确定单元1002,用于根据保存的域名信息与VPN路由转发实例VRF的对应关系,确定域名信息获取单元1001确定的域名信息对应的VRF;
隧道建立单元1003,用于在完成与第一CE设备针对该第一拨号用户的PPP协商后,针对该第一拨号用户建立与该第一CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在该VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置该逻辑接口与确定出的VRF对应;
报文接收单元1004,用于通过建立的VPDN隧道的逻辑接口接收该第一拨号用户通过该第一CE设备发送的数据报文;
标签信息确定单元1005,用于根据该报文接收单元1004接收数据报文的逻辑接口对应的VRF信息,确定用于发送该数据报文的标签信息;
报文发送单元1006,用于根据该标签信息确定单元1005确定的标签信息转发该数据报文。
本发明优选实施例中,图10所示的装置包括的标签信息确定单元1005,具体用于:
将报文接收单元1004接收的数据报文的VRF属性设置为与接收数据报文的逻辑接口对应的VRF属性;
根据该数据报文的VRF属性,在根据该数据报文的VRF属性确定出的路由表中查找所述数据报文对应的公网下一跳地址,以及在MPLS标签转发表中查找与该数据报文的VRF属性对应的内标签;
根据确定的公网下一跳地址获得所述数据报文对应的外标签以及输出接口。
本发明优选实施例中,图10所示的装置包括的报文发送单元1006,具体用于:
将确定的内标签以及外标签携带在该数据报文中通过确定的输出接口发送至服务商P设备。
在通过报文发送单元1006将该数据报文发送至P设备后,由P设备根据该数据报文携带的外标签,将该数据报文转发至该外标签指示的第二PE设备,并由该第二PE设备根据该数据报文携带的内标签,在MPLS标签转发表中查找与该数据报文的内标签对应的出口信息,并通过查找到的出口信息将所述数据报文通过该出口信息指示的第二CE设备转发至通过所述第二CE设备拨号的第二拨号用户;
其中,针对所述第二拨号用户建立的VPDN隧道的逻辑接口与针对所述第一拨号用户建立的VPDN隧道的逻辑接口所对应的VRF相同。
应当理解,以上装置包括的单元仅为根据该终端实现的功能进行的逻辑划分,实际应用中,可以进行上述单元的叠加或拆分。并且该实施例提供的装置所实现的功能与上述实施例二提供的数据传输方法流程一一对应,对于该装置所实现的更为详细的处理流程,在上述方法实施例中已做详细描述,此处不再详细描述。
本发明实施例四还提供了一种PE设备,该PE设备可以包括以上所述的任一数据传输装置。
实施例五
根据本发明实施例五,提供了一种数据传输系统,该数据传输系统与上述实施例二提供的数据传输方法对应。
如图11所示,该数据传输系统,包括:
第一CE设备1101、第一PE设备1102、P设备1103、第二PE设备1104以及第二CE设备1105;
其中:
第一CE设备1101,用于将第一拨号用户的点对点协议PPP协商请求发送至所述第一PE设备1102;
第一PE设备1102,用于获取第一CE设备1101发送的PPP协商请求中携带的所述第一拨号用户的域名信息,并根据保存的域名信息与虚拟专用网VPN路由转发实例VRF的对应关系,确定所述PPP协商请求携带的所述域名信息对应的VRF;以及,用于在完成与所述第一CE设备针对所述第一拨号用户的PPP协商后,针对所述第一拨号用户建立与所述第一CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在所述VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置所述逻辑接口与确定出的所述VRF对应;以及,用于通过建立的所述VPDN隧道的逻辑接口接收所述第一拨号用户通过所述第一CE设备发送的数据报文,并根据接收所述数据报文的逻辑接口对应的VRF信息,确定用于发送所述数据报文的标签信息,并将确定出的标签信息包括的内标签以及外标签携带在所述数据报文中发送给所述P设备1103;
P设备1103,用于根据所述数据报文携带的外标签,将所述数据报文转发至所述外标签指示的第二PE设备1104;
第二PE设备1104,用于根据所述数据报文携带的内标签,在MPLS标签转发表中查找与所述内标签对应的出口信息,并通过查找到的出口信息将所述数据报文通过所述出口信息指示的第二CE设备1105转发至通过所述第二CE设备1105拨号的第二拨号用户;其中,针对所述第二拨号用户建立的VPDN隧道的逻辑接口与针对所述第一拨号用户建立的VPDN隧道的逻辑接口所对应的VRF相同。
应当理解,该实施例五提供的系统所实现的功能与上述实施例二提供的数据传输方法流程一一对应,对于该系统所实现的更为详细的处理流程,在上述方法实施例中已做详细描述,此处不再详细描述。
通过本发明实施例提供的上述至少一个技术方案,通过在PE设备中保存不同拨号用户对应的域名信息与VRF之间的对应关系,PE设备接收到拨号用户通过CE设备发送的PPP协商请求后,能够根据保存的该域名信息与VRF的对应关系,确定出该PPP协商请求携带的该拨号用户的域名信息所对应的VRF,并在完成与该CE设备针对该拨号用户的PPP协商后,针对该拨号用户建立与该CE设备之间的VPDN隧道,其中,在该VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置该逻辑接口与确定出的VRF对应。采用该技术方案,将针对拨号用户在PE设备和CE设备之间建立的VPDN隧道的逻辑接口与该拨号用户的域名信息对应的VRF绑定,该拨号用户只能通过与其域名信息对应的VRF访问网络资源,一方面实现了针对具体拨号用户的网络资源访问权限的控制,另一方面,在拨号用户通过CE设备拨号过程中实现了对该拨号用户的网络资源访问权限的控制,使得对网络资源的权限划分能够通过公共网络延伸到网络边缘,从而提高了对拨号用户使用网络资源的权限的控制效率。
进一步地,PE设备通过与第一CE设备建立的VPDN隧道的逻辑接口接收第一拨号用户基于该第一CE设备发送的数据报文,并根据接收的该数据报文的逻辑接口对应的VRF信息,确定用于发送该数据报文的标签信息,并根据该标签信息转发数据报文到第二拨号用户,这样,从第一拨号用户到第二拨号用户的数据报文就可以通过VPDN和MPLS隧道进行远程的互通,使得网络资源的划分与安全隔离能够跨越公共网络延伸到网络的边缘。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种接入私有网络的方法,其特征在于,包括:
服务商边缘PE设备接收拨号用户通过用户边缘CE设备发送的点对点协议PPP协商请求,并获取所述PPP协商请求携带的所述拨号用户的域名信息;
根据保存的域名信息与虚拟专用网VPN路由转发实例VRF的对应关系,确定所述PPP协商请求携带的所述域名信息对应的VRF;
在完成与所述CE设备针对所述拨号用户的PPP协商后,针对所述拨号用户建立与所述CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在所述VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置所述逻辑接口与确定出的所述VRF对应。
2.如权利要求1所述的方法,其特征在于,保存所述域名信息与VRF的对应关系的方式,包括:
确定与所述域名信息对应的拨号用户对网络资源的访问权限;
建立所述域名信息以及与所述访问权限对应的VRF之间的对应关系,并保存所述对应关系。
3.一种数据传输方法,其特征在于,包括:
第一服务商边缘PE设备接收第一拨号用户通过第一用户边缘CE设备发送的点对点协议PPP协商请求,并获取所述PPP协商请求携带的所述第一拨号用户的域名信息;
根据保存的域名信息与虚拟专用网VPN路由转发实例VRF的对应关系,确定所述PPP协商请求携带的所述域名信息对应的VRF;
在完成与所述第一CE设备针对所述第一拨号用户的PPP协商后,针对所述第一拨号用户建立与所述第一CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在所述VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置所述逻辑接口与确定出的所述VRF对应;
通过建立的所述VPDN隧道的逻辑接口接收所述第一拨号用户通过所述第一CE设备发送的数据报文,并根据接收所述数据报文的逻辑接口对应的VRF信息,确定用于发送所述数据报文的标签信息,并根据所述标签信息发送所述数据报文。
4.如权利要求3所述的方法,其特征在于,根据接收所述数据报文的逻辑接口对应的VRF信息,确定用于发送所述数据报文的标签信息,具体包括:
将接收的所述数据报文的VRF属性设置为与接收所述数据报文的逻辑接口对应的VRF属性;
在根据所述数据报文的VRF属性确定出的路由表中查找所述数据报文对应的公网下一跳地址,以及在MPLS标签转发表中查找与所述数据报文的VRF属性对应的内标签;
根据所述公网下一跳地址获得所述数据报文对应的外标签以及输出接口。
5.如权利要求4所述的方法,其特征在于,根据所述标签信息发送所述数据报文,具体包括:
将确定的所述内标签以及外标签携带在所述数据报文中通过确定的所述输出接口发送至服务商P设备;
所述P设备根据所述数据报文携带的外标签,将所述数据报文转发至所述外标签指示的第二PE设备;
所述第二PE设备根据所述数据报文携带的内标签,在MPLS标签转发表中查找与所述内标签对应的出口信息,并通过查找到的出口信息将所述数据报文通过所述出口信息指示的第二CE设备转发至通过所述第二CE设备拨号的第二拨号用户;
其中,针对所述第二拨号用户建立的VPDN隧道的逻辑接口与针对所述第一拨号用户建立的VPDN隧道的逻辑接口所对应的VRF相同。
6.一种接入私有网络的装置,其特征在于,包括:
域名信息获取单元,用于接收拨号用户通过用户边缘CE设备发送的点对点协议PPP协商请求,并获取所述PPP协商请求携带的所述拨号用户的域名信息;
VRF确定单元,用于根据保存的域名信息与虚拟专用网VPN路由转发实例VRF的对应关系,确定所述域名信息获取单元确定的所述域名信息对应的VRF;
隧道建立单元,用于在完成与所述CE设备针对所述拨号用户的PPP协商后,针对所述拨号用户建立与所述CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在所述VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置所述逻辑接口与确定出的所述VRF对应。
7.如权利要求6所述的装置,其特征在于,还包括:
对应关系存储单元,用于确定与所述域名信息对应的拨号用户对网络资源的访问权限,并建立所述域名信息以及与所述访问权限对应的VRF之间的对应关系,并保存所述对应关系。
8.一种数据传输装置,其特征在于,包括:
域名信息获取单元,用于接收第一拨号用户通过第一用户边缘CE设备发送的点对点协议PPP协商请求,并获取所述PPP协商请求携带的所述第一拨号用户的域名信息;
VRF确定单元,用于根据保存的域名信息与虚拟专用网VPN路由转发实例VRF的对应关系,确定所述域名信息获取单元确定的所述域名信息对应的VRF;
隧道建立单元,用于在完成与所述第一CE设备针对所述第一拨号用户的PPP协商后,针对所述第一拨号用户建立与所述第一CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在所述VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置所述逻辑接口与确定出的所述VRF对应;
报文接收单元,用于通过建立的所述VPDN隧道的逻辑接口接收所述第一拨号用户通过所述第一CE设备发送的数据报文;
标签信息确定单元,用于根据所述报文接收单元接收所述数据报文的逻辑接口对应的VRF信息,确定用于发送所述数据报文的标签信息;
报文发送单元,用于根据所述标签信息确定单元确定的标签信息发送所述数据报文。
9.如权利要求8所述的装置,其特征在于,所述标签信息确定单元,具体用于:
将所述报文接收单元接收的所述数据报文的VRF属性设置为与接收所述数据报文的逻辑接口对应的VRF属性;
在根据所述数据报文的VRF属性确定出的路由表中查找所述数据报文对应的公网下一跳地址,以及在MPLS标签转发表中查找与所述数据报文的VRF属性对应的内标签;
根据所述公网下一跳地址获得所述数据报文对应的外标签以及输出接口。
10.如权利要求9所述的装置,其特征在于,所述报文发送单元,具体用于:
将确定的所述内标签以及外标签携带在所述数据报文中通过确定的所述输出接口发送至服务商P设备。
11.一种服务商边缘PE设备,其特征在于,包括权利要求8至权利要求10任一项所述的数据传输装置。
12.一种数据传输系统,其特征在于,包括:
第一用户边缘CE设备、第一服务商边缘PE设备、服务商P设备、第二PE设备以及第二CE设备;
其中:
所述第一CE设备,用于将第一拨号用户的点对点协议PPP协商请求发送至所述第一PE设备;
所述第一PE设备,用于获取第一CE设备发送的PPP协商请求中携带的所述第一拨号用户的域名信息,并根据保存的域名信息与虚拟专用网VPN路由转发实例VRF的对应关系,确定所述PPP协商请求携带的所述域名信息对应的VRF;以及,用于在完成与所述第一CE设备针对所述第一拨号用户的PPP协商后,针对所述第一拨号用户建立与所述第一CE设备之间的虚拟专用拨号网络VPDN隧道,其中,在所述VPDN隧道建立过程中生成用于收发数据报文的逻辑接口,并且配置所述逻辑接口与确定出的所述VRF对应;以及,用于通过建立的所述VPDN隧道的逻辑接口接收所述第一拨号用户通过所述第一CE设备发送的数据报文,并根据接收所述数据报文的逻辑接口对应的VRF信息,确定用于发送所述数据报文的标签信息,并将确定的所述标签信息包括的内标签以及外标签携带在所述数据报文中发送给所述P设备;
所述P设备,用于根据所述数据报文携带的外标签,将所述数据报文转发至所述外标签指示的第二PE设备;
所述第二PE设备,用于根据所述数据报文携带的内标签,在MPLS标签转发表中查找与所述内标签对应的出口信息,并通过查找到的出口信息将所述数据报文通过所述出口信息指示的第二CE设备转发至通过所述第二CE设备拨号的第二拨号用户;其中,针对所述第二拨号用户建立的VPDN隧道的逻辑接口与针对所述第一拨号用户建立的VPDN隧道的逻辑接口所对应的VRF相同。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102641562A CN101908996B (zh) | 2010-08-24 | 2010-08-24 | 接入私有网络的方法、数据传输方法及装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102641562A CN101908996B (zh) | 2010-08-24 | 2010-08-24 | 接入私有网络的方法、数据传输方法及装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101908996A CN101908996A (zh) | 2010-12-08 |
CN101908996B true CN101908996B (zh) | 2012-02-29 |
Family
ID=43264321
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102641562A Active CN101908996B (zh) | 2010-08-24 | 2010-08-24 | 接入私有网络的方法、数据传输方法及装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101908996B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102131189B (zh) * | 2010-12-28 | 2014-11-12 | 中国电信股份有限公司 | 采集仪、移动监管方法和系统 |
WO2013044516A1 (zh) * | 2011-09-30 | 2013-04-04 | 华为技术有限公司 | 网络拨号的方法及装置 |
CN103209107B (zh) * | 2013-04-08 | 2016-08-17 | 汉柏科技有限公司 | 一种实现用户访问控制的方法 |
CN103401752B (zh) * | 2013-07-23 | 2017-11-17 | 迈普通信技术股份有限公司 | 访问虚拟专用网的方法和装置 |
CN104468162A (zh) * | 2013-09-17 | 2015-03-25 | 中兴通讯股份有限公司 | 网络管理方法及系统、虚拟网络实体、网络设备 |
US20190116119A1 (en) * | 2017-10-17 | 2019-04-18 | Huawei Technologies Co., Ltd. | Inter-vrf routing using normal network operation model |
CN111953599B (zh) * | 2020-07-14 | 2022-06-21 | 锐捷网络股份有限公司 | 一种终端权限控制方法、装置、电子设备及存储介质 |
CN115529206A (zh) * | 2022-09-30 | 2022-12-27 | 上海地面通信息网络股份有限公司 | 基于拨号云vpn的远程及移动办公协同控制系统及接入方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101557334A (zh) * | 2008-04-08 | 2009-10-14 | 中兴通讯股份有限公司 | Mpls vpn、其vpn多实例用户边缘设备及其实现方法 |
CN101808038A (zh) * | 2010-03-29 | 2010-08-18 | 杭州华三通信技术有限公司 | 一种vpn实例的划分方法和设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7668178B2 (en) * | 2005-08-30 | 2010-02-23 | Cisco Technology, Inc. | Methods and apparatus for implementing VPN services |
-
2010
- 2010-08-24 CN CN2010102641562A patent/CN101908996B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101557334A (zh) * | 2008-04-08 | 2009-10-14 | 中兴通讯股份有限公司 | Mpls vpn、其vpn多实例用户边缘设备及其实现方法 |
CN101808038A (zh) * | 2010-03-29 | 2010-08-18 | 杭州华三通信技术有限公司 | 一种vpn实例的划分方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101908996A (zh) | 2010-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101908996B (zh) | 接入私有网络的方法、数据传输方法及装置和系统 | |
CN102025591B (zh) | 虚拟专用网络的实现方法及系统 | |
CN102577255B (zh) | 云计算中企业的第2层无缝站点扩展 | |
CN111682996B (zh) | 网络中报文转发的方法、网络节点、网络系统 | |
AU2016201620B2 (en) | Dynamic vpn address allocation | |
CN101019381B (zh) | 在访问广域网期间维持为指定站点中的IPv6节点分配的唯一本地地址的机密性 | |
EP1811728B1 (en) | Method, system and device of traffic management in a multi-protocol label switching network | |
CN102447752B (zh) | 基于二层隧道协议的业务访问方法、系统和装置 | |
JP5132059B2 (ja) | パケット中継方法及びパケット中継システム | |
CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
CN103841024B (zh) | 一种家庭网关实现数据分流的方法和家庭网关 | |
JP2006524974A5 (zh) | ||
IL207903A (en) | A method and device for communicating data packets between local networks | |
CN101635702B (zh) | 应用安全策略的数据包转发方法 | |
WO2008092357A1 (fr) | Procédé et dispositif pour établir un tunnel pseudocâblé et transmettre un message à l'aide de celui-ci | |
CN102801625A (zh) | 一种异构网络二层互通的方法及设备 | |
CN107404470A (zh) | 接入控制方法及装置 | |
EP3598705B1 (en) | Routing control | |
CN101110746B (zh) | 运营商边缘设备、城域以太接入网及其处理数据的方法 | |
CN104954265A (zh) | 发送组播报文的方法及交换机 | |
CN102891903B (zh) | 一种nat转换方法及设备 | |
CN101834864A (zh) | 一种三层虚拟专用网中攻击防范的方法及装置 | |
CN102546433A (zh) | 基于mpls vpn的数据转发方法和边缘设备 | |
CN107547340A (zh) | 一种报文转发方法和装置 | |
CN103731820A (zh) | IPv6无线路由器中基于MAC地址转换的接入与访问控制方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |